-70%

Оформить подписку на «Хакер»:

3000 руб

на 1 год

920 руб

на 1 месяц

Xakep #270. Инструменты криминалиста

Дав­нень­ко у нас не было новос­тей с фрон­тов форен­зики! А ведь инс­тру­мен­ты ана­лиза уста­рева­ют, тог­да как хакеры при­думы­вают всё новые и новые методы заметать сле­ды. В этом выпуске мы посмотрим, какие современные инструменты помогают ИБ‑бой­цам отслеживать события и анализировать инциденты.

Также в номере:

  • Пишем DDoS-утилиту для Windows
  • Ломаем программу для macOS
  • Используем цепочки атак в OWASP Juice Shop
  • Оптимизируем Blind SQL-инъекцию
  • Прячем свой сайт в интернете
  • Защищаемся от кражи прошивки
Содержание
(Подписчикам доступно 19 статей)

COVER STORY

Таймлайн всего

Используем Plaso для сбора системных событий

Давненько у нас не было новостей с фронтов форензики! А ведь инструменты анализа устаревают, тогда как хакеры придумывают все новые и новые методы заметать следы, оставляя доблестных бойцов с шевронами DFIR на рукавах задумчиво чесать репу. Давай пока отложим устаревший, но от того не менее острый Scalpel и оглянемся по сторонам.

Цифровой детектив

Используем Timesketch для работы с таймлайнами Plaso

При расследовании инцидентов важно установить точное время и способ компрометации системы, чтобы затем раскрутить весь ряд действий злоумышленника. Сегодня мы проделаем именно это, используя инструмент Timesketch.

Прыжок в Sigma-лярность

Используем правила Sigma в Timesketch

Отслеживать и детектировать системные события специалистам по информационной безопасности помогают разные инструменты. В 2016 году в этом арсенале появилась новинка, получившая название Sigma. Она сэкономит твое время и значительно облегчит жизнь, поскольку имеет множество полезных функций, которые мы сегодня рассмотрим.

ВЗЛОМ

DDoS с усилением

Обходим Raw Security и пишем DDoS-утилиту для Windows

Проходят годы, а DDoS остается мощным инструментом хакерских группировок. Разработчики Windows активно борются с этим, усложняя жизнь хакерам и отсекая вредоносные запросы на системном уровне. Мы сегодня поговорим о том, как эти преграды обходят.

Липосакция для fat binary

Ломаем программу для macOS с поддержкой нескольких архитектур

Сегодня мы обратим взор на мультипроцессорную программу для macOS: плагин для маковского Adobe Illustrator CC 2021, который в целях обучения будет превращен из пробной версии в полноценную. Причем понадобятся нам исключительно инструменты для Windows: IDA версии 7.2 и Hiew.

F#ck AMSI!

Как обходят Anti-Malware Scan Interface при заражении Windows

Если тебе знакома фраза «Этот сценарий содержит вредоносное содержимое и был заблокирован антивирусным программным обеспечением», то сегодняшняя статья — для тебя. Такое сообщение генерирует встроенный в Windows 10 механизм AMSI. Можно ли его обойти? Запросто, и сейчас я расскажу, как это сделать.

В обход стражи

Отлаживаем код на PHP, упакованный SourceGuardian

На языке PHP можно писать практически полноценные приложения, защищенные упаковщиком SourceGuardian, декомпилятора для которого в свободном доступе не существует. Сегодня мы разберем практический способ быстрой отладки такого байткода под Windows без специальных инструментов — только ловкость рук и немного магии.

Like a pro

Используем OSINT и цепочки атак в OWASP Juice Shop

Сегодня мы будем искать ключ к паролям на фото, вытаскивать скрытые метаданные, внедрять SQL-инъекции и изучать многоходовые атаки. Продолжим разбираться с задачками OWASP и полностью взломаем интернет-магазин Juice Shop, специально созданный для тестирования уязвимостей и оттачивания хакерского мастерства.

Самый быстрый укол

Оптимизируем Blind SQL-инъекцию

В своей практике работы в BI.ZONE я регулярно сталкиваюсь с необходимостью эксплуатации слепых SQL-инъекций. Пожалуй, Blind-случаи встречались мне даже чаще, чем Union или Error-based. Поэтому я решил подумать об эффективности. Эта статья — обзор подходов к эксплуатации слепых SQL-инъекций и техник, позволяющих ускорить эксплуатацию.

HTB Sink

Учимся прятать запросы HTTP и разбираемся с AWS Secrets Manager

В этой статье мы пройдем машину Sink с площадки HackTheBox. Для этого нам понадобится проэксплуатировать уязвимость HTTP Request Smuggling, а получив точку опоры, будем разбираться с технологией AWS Secrets Manager. Скучать точно не придется!

HTB Unobtainium

Учимся работать с Kubernetes в рамках пентеста

В этой статье я покажу, как проходится сложная машина Unobtainium с площадки Hack The Box. Мы проведем тестирование клиент-серверного приложения, серверная часть которого написана на Node.js. А затем поработаем с оркестратором Kubernetes и через него захватим флаг рута.

HTB Schooled

Пентестим Moodle и делаем вредоносный пакет для FreeBSD

В этой статье нам предстоит пройти все ступени повышения привилегий на платформе для онлайнового обучения Moodle — вплоть до получения реверс-шелла и дампа учетных данных из базы платформы. Затем мы повысим привилегии через установку кастомного пакета FreeBSD. Проделывать все это мы будем для захвата машины Schooled с площадки Hack The Box.

UNITS

Титры

Кто делает этот журнал